Обнаружение Elasticsearch EC2 завершается неудачно с "неверными учетными данными"
Я пытаюсь создать кластер Elasticsearch на EC2 и получаю сообщения об ошибках, которые я указал неверные учетные данные, но это те же учетные данные, которые я использовал при создании экземпляров с помощью jclouds.
Пример журнала ошибок, который я вижу от Elasticsearch:
[2014-03-03 21:32:26,109][INFO ][node ] [Baron Blood] version[1.0.1], pid[6832], build[5c03844/2014-02-25T15:52:53Z]
[2014-03-03 21:32:26,110][INFO ][node ] [Baron Blood] initializing ...
[2014-03-03 21:32:26,127][INFO ][plugins ] [Baron Blood] loaded [cloud-aws], sites []
[2014-03-03 21:32:30,736][INFO ][node ] [Baron Blood] initialized
[2014-03-03 21:32:30,736][INFO ][node ] [Baron Blood] starting ...
[2014-03-03 21:32:30,932][INFO ][transport ] [Baron Blood] bound_address {inet[/0:0:0:0:0:0:0:0:9300]}, publish_address {inet[/10.154.175.62:9300]}
[2014-03-03 21:32:31,228][WARN ][org.apache.http.impl.client.DefaultHttpClient] Authentication error: Unable to respond to any of these challenges: {}
[2014-03-03 21:32:31,388][INFO ][discovery.ec2 ] [Baron Blood] Exception while retrieving instance list from AWS API: AWS was not able to validate the provided access credentials
[2014-03-03 21:32:46,415][WARN ][org.apache.http.impl.client.DefaultHttpClient] Authentication error: Unable to respond to any of these challenges: {}
[2014-03-03 21:32:46,425][INFO ][discovery.ec2 ] [Baron Blood] Exception while retrieving instance list from AWS API: AWS was not able to validate the provided access credentials
[2014-03-03 21:33:00,939][WARN ][discovery ] [Baron Blood] waited for 30s and no initial state was set by the discovery
[2014-03-03 21:33:00,939][INFO ][discovery ] [Baron Blood] adstage-es-log/KolEM00zT9mYvYn3mDkrow
[2014-03-03 21:33:00,946][INFO ][http ] [Baron Blood] bound_address {inet[/0:0:0:0:0:0:0:0:9200]}, publish_address {inet[/10.154.175.62:9200]}
[2014-03-03 21:33:00,998][INFO ][node ] [Baron Blood] started
[2014-03-03 21:33:01,454][WARN ][org.apache.http.impl.client.DefaultHttpClient] Authentication error: Unable to respond to any of these challenges: {}
[2014-03-03 21:33:01,463][INFO ][discovery.ec2 ] [Baron Blood] Exception while retrieving instance list from AWS API: AWS was not able to validate the provided access credentials
[2014-03-03 21:33:01,466][INFO ][cluster.service ] [Baron Blood] new_master [Baron Blood][KolEM00zT9mYvYn3mDkrow][ip-10-154-175-62][inet[/10.154.175.62:9300]], reason: zen-disco-join (elected_as_master)
[2014-03-03 21:33:01,516][INFO ][gateway ] [Baron Blood] recovered [0] indices into cluster_state
Исходя из документации, мой файл asticsearch.yml представляется правильным:
cluster.name: adstage-es-log
cloud.aws.access_key: MY_ACCESS_KEY
cloud.aws.secret_key: MY_SECRET_TOKEN
cloud.aws.region: us-east
discovery.type: ec2
discovery.ec2.ping_timeout: 30s
Кроме того, потому что кто-то спросит, группа безопасности широко открыта на этих коробках. Использование Elasticsearch 1.0.1 и ec2 plugin 2.0.0.RC1.
До сих пор я не нашел ничего, что указывало бы на то, что могло быть причиной этого. Есть идеи, как решить эту проблему?
3 ответа
Оказывается, проблема заключалась в том, что для моей учетной записи AWS были установлены неверные разрешения, так как мы используем IAM. Был в состоянии решить эту проблему, убедившись, что моя учетная запись имеет следующие разрешения:
- EC2:DescribeAvailabilityZones
- EC2:DescribeInstances
- EC2:DescribeRegions
- EC2:DescribeSecurityGroups
- EC2:DescribeTags
Это как политика, готовая для копирования и вставки:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1404060922000",
"Effect": "Allow",
"Action": [
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInstances",
"ec2:DescribeRegions",
"ec2:DescribeSecurityGroups",
"ec2:DescribeTags"
],
"Resource": [
"*"
]
}
]
}
Чтобы добавить конкретный пример к полезному ответу Гордона, вот рабочая политика разрешений IAM:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
}
]
}